Analiza pobeglih gesel: še vedno nič novega
Matej Huš
15. dec 2010 ob 12:10:29
Vsakokrat, ko ukradejo kakšno veliko bazo podatkov, se prej ali slej na internetu pojavijo analize gesel. Katero geslo je najpogostejše, kakšne napake delajo uporabniki pri izboru gesel, koliko so ta predvidljiva in podobno, so klasični izsledki. Žalostno je, da ostajajo več ali manj enaki. In če bi pomislili, da so uporabniki Gawkerja nekolikanj tehnološko bolje osveščeni, bi se grdo zmotili. Njihova gesla so prav tako predvidljiva kot drugod.
The Wall Street Journal je objavil analizo 188.279 gesel, ki so jih uspeli dešifrirati in analizirati. Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password, 12345678, lifehack, qwerty, abc123, 111111 in monkey. Nekaj izbranih gesel je tipičnih za stran, v tem primeru so to fuckyou, blahblah in whatever. Razlage za monkey sicer ni. Zanimivi sta še gesli trustno1 (Mulderjevo geslo v Dosjejih X) in thx1138 (film Georgea Lucasa), poleg njiju pa še dragon, superman, princess, starwars in nintendo.
Povprečno geslo je dolgo šest znakov. Zanimive so korelacije med močjo gesel in ponudnikov elektronske pošte. Izkazalo se je, da imajo uporabniki Gmaila in Yahoo Maila nekoliko daljša in za kanček bolj premetena (passw0rd namesto password) gesla od uporabnikov Hotmaila, kar lahko razlagamo z zahtevami ponudnika elektronske pošte pri izbiri gesla in lenobo, saj ljudje ista gesla uporabijo na več koncih.
Je pa potrebno biti pri tovrstni statistiki pazljiv. Analizirana so zgolj gesla, ki so bila dešifrirana, zato vzorec ni nujno reprezentativen za celotno spletno skupnost. Nasprotno, verjetno je, da močnejša gesla niso bila odkrita.